安全配置文件概览

安全配置文件是多个网络安全产品使用的政策容器。安全配置文件定义了在 Network Security Integration 服务中监控和分析的网络流量范围。

为何使用安全配置文件

您可以使用安全配置文件为匹配的镜像规则指定操作。 如果镜像规则未附加安全配置文件，集成服务将不知道将镜像的流量发送到何处进行检查。

安全配置文件的工作原理

安全配置文件的工作原理是将您的网络资源附加到 镜像防火墙规则。 将安全配置文件附加到镜像防火墙规则后，该配置文件会执行两项关键功能：

• 路由流量：安全配置文件会识别与您的虚拟私有云 (VPC) 网络关联的 端点组 。端点组 指向生产者的部署组。 此生产者的部署组会整理您的网络资源（例如虚拟机 [VM]），并定义集成服务可以监控的流量范围。

• 附加配置文件：镜像的数据包会携带 安全配置文件组 data_path_id， 该 ID 可用于在收集器上强制执行政策。 收集器是生产者网络中由用户管理的目标。 收集器是生产者网络中由用户管理的目标。. 收集器会接收来自 使用方网络 的镜像流量以进行检查。

本文档概述了安全配置文件及其特定配置功能。

规格

• Network Security Integration 支持 CUSTOM_MIRRORING 类型的安全配置文件。

• 安全配置文件的名称采用以下网址标识符格式配置：

  • 组织级：organizations/ORGANIZATION_ID/locations/global/securityProfiles/NAME

  • 项目级（预览版）：projects/PROJECT_ID/locations/global/securityProfiles/NAME

  安全配置文件的 NAME 必须满足以下要求：

  • 长度为 1-63 个字符的字符串
  • 仅包含小写字母数字字符或连字符 (-)
  • 以字母开头

  示例：

  • 组织级安全配置文件：organizations/2345678432/locations/global/securityProfiles/example-security-profile。
  • 项目级安全配置文件（预览版）：projects/my-project-123/locations/global/securityProfiles/example-security-profile。

  如果您使用安全配置文件名称的唯一网址标识符，则该网址已包含组织或项目以及位置。 如果您仅指定简称，则在使用 gcloud 命令时，必须单独提供组织 ID 或项目 ID 以及位置。

• 创建安全配置文件后，您可以选择将其附加到 安全配置文件组。 此安全配置文件组由您要在 Network Security Integration 中处理网络流量的 VPC 网络的网络防火墙政策引用。

• 与网络防火墙政策规则匹配的流量会发送到 安全配置文件引用的 端点组。

• 每个安全配置文件都必须具有关联的项目 ID。关联项目用于安全配置文件资源的配额和访问权限限制。如果您使用 gcloud auth activate-service-account命令对您的服务帐号进行身份验证， 则可以将您的服务帐号与安全配置文件相关联。 如需了解详情， 请参阅创建和管理自定义安全配置文件。

Identity and Access Management 角色

下表介绍了管理安全配置文件所需的 Identity and Access Management (IAM) 角色：

特性	必要角色
创建自定义安全配置文件	您要在其中创建自定义 安全配置文件的组织或项目的 Security Profile Admin 角色 (networksecurity.securityProfileAdmin)。
修改自定义安全配置文件	自定义安全配置文件所在的组织或项目的 Security Profile Admin 角色 (networksecurity.securityProfileAdmin)。
查看组织或项目中的自定义安全配置文件的详细信息	自定义安全配置文件所在的组织或项目的以下任一角色： Security Profile Admin 角色 (networksecurity.securityProfileAdmin) Compute Network User 角色 (compute.networkUser) Compute Network Viewer 角色 (compute.networkViewer)
查看组织或项目中的所有自定义安全配置文件	自定义安全配置文件所在的组织或项目的以下任一角色： Security Profile Admin 角色 (networksecurity.securityProfileAdmin) Compute Network User 角色 (compute.networkUser) Compute Network Viewer 角色 (compute.networkViewer)
在安全配置文件组中使用自定义安全配置文件	自定义安全配置文件所在的组织或项目的以下任一角色： Security Profile Admin 角色 (networksecurity.securityProfileAdmin) Compute Network User 角色 (compute.networkUser)

如果您没有 Security Profile Admin 角色 (roles/networksecurity.securityProfileAdmin)，则可以使用以下权限创建和管理 自定义安全配置文件：

• networksecurity.securityProfiles.create
• networksecurity.securityProfiles.delete
• networksecurity.securityProfiles.get
• networksecurity.securityProfiles.list
• networksecurity.securityProfiles.update
• networksecurity.securityProfiles.use

如需详细了解 IAM 权限和 预定义角色，请参阅 IAM 权限参考。

配额

如需查看与自定义安全配置文件关联的配额，请参阅 配额和限制。

后续步骤

• 创建和管理安全配置文件组
• 创建和管理自定义镜像安全配置文件